Quelle anzeigen

Beschreibung:

In einigen Szenarien ist es erforderlich bestimmten Datenverkehr (etwa Echtzeit-Datenverkehr) priorisiert zu übertragen und eine Bandbreite zu garantieren. Dies kann auf einer Unified Firewall mittels der Funktion Traffic-Shaping realisiert werden.

In diesem Artikel wird beschrieben, wie Traffic-Shaping auf einer LANCOM R&S®Unified Firewall konfiguriert wird.

Traffic-Shaping kann nur für die Kommunikation vom LAN zum WAN und umgekehrt verwendet werden, nicht aber für die Kommunikation zwischen verschiedenen lokalen Netzwerken.

Voraussetzungen:

LANCOM R&S® Unified Firewall mit LCOS FX ab Version 10.10 Rel
Bereits eingerichtetes und funktionsfähiges Netzwerk samt Internet-Verbindung auf der Unified Firewall
Web-Browser zur Konfiguration der Unified Firewalls

Es werden folgende Browser unterstützt:
- Google Chrome
- Chromium
- Mozilla Firefox

Szenario:

In diesem Beispiel-Szenario soll VoIP-Datenverkehr priorisiert behandelt werden.

Vorgehensweise:

Die Pakete müssen einer Traffic-Gruppe zugeordnet werden, damit diese durch das Traffic-Shaping-Modul verarbeitet werden können. Dabei gibt es zwei Varianten, wie Datenverkehr einer Traffic-Gruppe zugewiesen werden kann:

Durch Auswahl der Traffic Gruppe in einer Desktop-Verbindung, einer IPSec-Verbindung oder einem Application-Routing-Profil.
Durch Auswahl eines DSCP-Wertes in dem Feld DSCP eingehend in der Traffic-Gruppe. Dadurch wird sämtlicher Datenverkehr mit dem passenden DSCP-Wert, welcher über die Unified Firewall übertragen wird, der Traffic-Gruppe zugeordnet.

Das Traffic-Shaping greift, sobald in einer Desktop-Verbindung, einer IPSec-Verbindung oder einem Application-Routing-Profil die folgenden Parameter hinterlegt sind:

Weder die Traffic-Gruppe, noch ein DSCP-Wert bei DSCP ausgehend ist ausgewählt.
→ Es wird kein Traffic-Shaping vorgenommen.
Die Traffic-Gruppe ist ausgewählt aber kein DSCP-Wert bei DSCP ausgehend.
→ Der Datenverkehr wird der Traffic-Gruppe zugeordnet und gemäß der Shaping-Konfiguration priorisiert oder limitiert.
Es ist keine Traffic-Gruppe ausgewählt aber ein DSCP-Wert bei DSCP ausgehend hinterlegt.
→ Die Unified Firewall setzt bei allen ausgehenden Paketen den DSCP-Wert (kann durch nachgelagerte Geräte erkannt und entsprechend priorisiert werden).
Sowohl die Traffic-Gruppe ist ausgewählt, als auch ein DSCP-Wert bei DSCP ausgehend hinterlegt.
→ Der Datenverkehr wird der Traffic-Gruppe zugeordnet und gemäß der Shaping-Konfiguration priorisiert oder limitiert und die Unified Firewall setzt bei allen ausgehenden Paketen den DSCP-Wert (kann durch nachgelagerte Geräte erkannt und entsprechend priorisiert werden).

1. Erstellen einer Traffic-Gruppe (erforderlich):

1.1 Verbinden Sie sich mit dem Webinterface der Unified Firewall, wechseln in das Menü Netzwerk → Traffic-Shaping → Traffic-Gruppen und klicken auf das "Plus-Zeichen", um eine neue Traffic-Gruppe zu erstellen.

LANCOM Support Knowledge Base DE > Konfiguration von Traffic-Shaping auf einer LANCOM R&S®Unified Firewall > 1.png

1.2 Passen Sie die folgenden Parameter an, um eine Gruppe für VoIP-Datenverkehr anzulegen und klicken auf Erstellen:

Name: Vergeben Sie einen aussagekräftigen Namen für die Gruppe (in diesem Beispiel VoIP).
DSCP eingehend: Wählen Sie einen passenden DSCP-Wert für die Gruppe aus (in diesem Beispiel wird für VoIP das Flag EF (Telephony) verwendet).

Die Angabe eines DSCP-Wertes im Feld DSCP eingehend ist optional. Wird kein DSCP-Wert hinterlegt, kann Datenverkehr nur dann einer Traffic-Gruppe zugewiesen werden, indem diese in einer Desktop-Verbindung, einer IPSec-Verbindung oder einem Application-Routing-Profil ausgewählt wird.

LANCOM Support Knowledge Base DE > Konfiguration von Traffic-Shaping auf einer LANCOM R&S®Unified Firewall > 2.png

2. Erstellen einer Shaping-Konfiguration (optional):

2.1 Wechseln Sie in das Menü Netzwerk → Traffic-Shaping → Shaping-Konfigurationen.

LANCOM Support Knowledge Base DE > Konfiguration von Traffic-Shaping auf einer LANCOM R&S®Unified Firewall > 4.png

2.2 Passen Sie die folgenden Parameter an:

Interface: Wählen Sie im Dropdownmenü das Interface aus, an dem die Internet-Verbindung angebunden ist.
Maximale Download-Bandbreite: Geben Sie die maximale Download-Bandbreite der Internet-Verbindung an (in diesem Beispiel 100 MBit/s).
Maximale Upload-Bandbreite: Geben Sie die maximale Upload-Bandbreite der Internet-Verbindung an (in diesem Beispiel 40 MBit/s).

Pro Interface kann nur eine Shaping-Konfiguration erstellt werden.

LANCOM Support Knowledge Base DE > Konfiguration von Traffic-Shaping auf einer LANCOM R&S®Unified Firewall > 5.png

2.3 Passen Sie für den eingehenden Datenverkehr die folgenden Parameter bei Eingehende Regeln an und klicken auf das "Plus-Zeichen", um diese zu übernehmen:

Wird ein eingehendes Paket mit dem in der Traffic-Gruppe vergebenen DSCP-Wert erkannt, findet die Regel Anwendung und garantiert oder beschränkt die Bandbreite für dieses Paket.

Die Summe der garantierten Bandbreiten aller Regeln einer Übertragungsrichtung darf die maximale Interface-Bandbreite für diese Übertragungsrichtung nicht überschreiten.

Traffic-Gruppe: Wählen Sie im Dropdown-Menü die in Schritt 1. erstellte Traffic-Gruppe aus (in diesem Beispiel VoIP).
Priorität: Wählen Sie im Dropdown-Menü eine Priorität zwischen 1 und 7 aus, wobei 1 die höchste und 7 die niedrigste Priorität darstellt. Datenverkehr, der keiner der Regeln entspricht, hat die niedrigste Priorität und es wird keine Bandbreite garantiert. Mehrere Regeln können die gleiche Priorität haben. In diesem Fall wird die Übertragungskapazität "fair" aufgeteilt.
Garantierte Bandbreite: Tragen Sie die garantierte Bandbreite für eingehenden Datenverkehr (Download) ein. Diese wird auf der ausgewählten Verbindung reserviert und steht nicht mehr anderweitig zur Verfügung.
Maximale Bandbreite: Tragen Sie die maximale Bandbreite für eingehenden Datenverkehr (Download) ein. Wird diese Bandbreite überschritten, verwirft die Unified Firewall diese Pakete.

LANCOM Support Knowledge Base DE > Konfiguration von Traffic-Shaping auf einer LANCOM R&S®Unified Firewall > 6.png

2.4 Passen Sie für den ausgehenden Datenverkehr die folgenden Parameter bei Ausgehende Regeln an und klicken auf das "Plus-Zeichen", um diese zu übernehmen:

Wird über eine Firewall-Regel (Schritt 3), eine IPSec-Verbindung (Schritt 4) oder das Application-Management (Schritt 5) einem ausgehenden Paket ein bestimmter DSCP-Wert zugewiesen, welcher dem in der Traffic-Gruppe vergebenen DSCP-Wert entspricht, findet die Regel Anwendung und garantiert oder beschränkt die Bandbreite für dieses Paket.

Die Summe der garantierten Bandbreiten aller Regeln einer Übertragungsrichtung darf die maximale Interface-Bandbreite für diese Übertragungsrichtung nicht überschreiten.

Traffic-Gruppe: Wählen Sie im Dropdown-Menü die in Schritt 1. erstellte Traffic-Gruppe aus (in diesem Beispiel VoIP).
Priorität: Wählen Sie im Dropdown-Menü eine Priorität zwischen 1 und 7 aus, wobei 1 die höchste und 7 die niedrigste Priorität darstellt. Datenverkehr, der keiner der Regeln entspricht, hat die niedrigste Priorität und es wird keine Bandbreite garantiert. Mehrere Regeln können die gleiche Priorität haben. In diesem Fall wird die Übertragungskapazität "fair" aufgeteilt.
Garantierte Bandbreite: Tragen Sie die garantierte Bandbreite für ausgehenden Datenverkehr (Upload) ein. Diese wird auf der ausgewählten Verbindung reserviert und steht nicht mehr anderweitig zur Verfügung.
Maximale Bandbreite: Tragen Sie die maximale Bandbreite für ausgehenden Datenverkehr (Upload) ein. Wird diese Bandbreite überschritten, verwirft die Unified Firewall diese Pakete.

LANCOM Support Knowledge Base DE > Konfiguration von Traffic-Shaping auf einer LANCOM R&S®Unified Firewall > 8.png

2.5 Klicken Sie abschließend auf Erstellen.

LANCOM Support Knowledge Base DE > Konfiguration von Traffic-Shaping auf einer LANCOM R&S®Unified Firewall > 10.png

3. Verwendung des Shaping-Konfiguration:

Damit die in Schritt 2. erstellte Shaping-Konfiguration Anwendung findet, muss die dort hinterlegte Traffic-Gruppe in einer Desktop-Verbindung, einer IPSec-Verbindung oder in einem Application-Routing-Profil referenziert werden (oder auch in mehreren dieser Möglichkeiten).

3.1 Verwendung der Shaping-Konfiguration in einer Desktop-Verbindung:

Klicken Sie auf dem Desktop auf das Netzwerk-Objekt, wählen das Verbindungs-Werkzeug aus und klicken auf das Internet-Objekt, um die Desktop-Verbindung zu öffnen.

LANCOM Support Knowledge Base DE > Konfiguration von Traffic-Shaping auf einer LANCOM R&S®Unified Firewall > 11.png

3.1.1 Verwendung der Shaping-Konfiguration für die gesamte Desktop-Verbindung:

Wechseln Sie in den Reiter Traffic-Shaping, wählen im Dropdown-Menü bei Traffic-Gruppe die in Schritt 1. erstellte Traffic-Gruppe aus (in diesem Beispiel VoIP) und auf Speichern.

3.1.2 Verwendung der Shaping-Konfiguration für einzelne Protokolle einer Desktop-Verbindung:

3.1.2.1 Klicken Sie bei dem gewünschten Protokoll (in diesem Beispiel der benutzerdefinierte Dienst SIP) unter Optionen auf NAT, um in die erweiterten Einstellungen zu gelangen.

LANCOM Support Knowledge Base DE > Konfiguration von Traffic-Shaping auf einer LANCOM R&S®Unified Firewall > 13.png

3.1.2.2 Wechseln Sie in den Reiter Traffic-Shaping, wählen die Option Servicespezifische Einstellungen verwenden aus und wählen im Dropdown-Menü bei Traffic-Gruppe die in Schritt 1. erstellte Traffic-Gruppe aus (in diesem Beispiel VoIP).

Klicken Sie anschließend auf OK.

LANCOM Support Knowledge Base DE > Konfiguration von Traffic-Shaping auf einer LANCOM R&S®Unified Firewall > 14.png

3.1.2.3 Klicken Sie abschließend auf Speichern.

LANCOM Support Knowledge Base DE > Konfiguration von Traffic-Shaping auf einer LANCOM R&S®Unified Firewall > 15.png

3.1.3 Aktivieren der Konfigurations-Änderungen:

Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen übernommen werden.

LANCOM Support Knowledge Base DE > Konfiguration von Traffic-Shaping auf einer LANCOM R&S®Unified Firewall > 16.png

3.2 Verwendung der Shaping-Konfiguration in einer IPSec-Verbindung:

Traffic-Shaping steht nicht für VPN-SSL Verbindungen zur Verfügung.

3.2.1 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken bei der gewünschten Verbindung auf das Bleistift-Symbol, um die Verbindung zu editieren.

LANCOM Support Knowledge Base DE > Konfiguration von Traffic-Shaping auf einer LANCOM R&S®Unified Firewall > 17.png

3.2.2 Wechseln Sie in den Reiter Traffic-Shaping, wählen im Dropdown-Menü die in Schritt 1. erstellte Traffic-Gruppe aus (in diesem Beispiel VoIP) und klicken auf Speichern.

LANCOM Support Knowledge Base DE > Konfiguration von Traffic-Shaping auf einer LANCOM R&S®Unified Firewall > 18.png

3.3 Verwendung der Shaping-Konfiguration in einem Application-Routing-Profil:

3.3.1 Wechseln Sie in das Menü UTM → Application-Management → Routing-Profile und klicken auf das gewünschte Routing-Profil, um diese zu editieren.

LANCOM Support Knowledge Base DE > Konfiguration von Traffic-Shaping auf einer LANCOM R&S®Unified Firewall > 19.png

3.3.2 Wählen Sie im Dropdown-Menü die in Schritt 1. erstellte Traffic-Gruppe aus (in diesem Beispiel VoIP) und klicken auf Speichern.

LANCOM Support Knowledge Base DE > Konfiguration von Traffic-Shaping auf einer LANCOM R&S®Unified Firewall > 20.png

LANCOM Support Knowledge Base DE > Konfiguration von Traffic-Shaping auf einer LANCOM R&S®Unified Firewall > 21.png

4. Zuweisen eines DSCP-Flags für ausgehenden Datenverkehr (optional):

Optional kann über das Traffic-Shaping ausgehenden Paketen für den Datenverkehr aller in der Desktop-Verbindung enthaltenen Protokolle oder Dienste ein bestimmter DSCP-Wert zugewiesen werden (der vorhandene DSCP-Wert wird dabei überschrieben). Dies ist allerdings nur sinnvoll, wenn es sich um ähnlich gearteten Datenverkehr handelt und dieser von der Zuweisung des DSCP-Flags profitiert (etwa bei Firewall-Regeln einer dedizierten Internet-Verbindung für VoIP-Datenverkehr).

3.1.1 Wechseln Sie in den Reiter Traffic-Shaping, passen die folgenden Parameter an und klicken auf Speichern:

Traffic-Gruppe: Wählen im Dropdown-Menü Sie die in Schritt 1. erstellte Traffic-Gruppe aus (in diesem Beispiel VoIP).
DSCP ausgehend: Wählen Sie im Dropdown-Menü den gewünschten DSCP-Wert aus, welcher ausgehenden Paketen zugewiesen werden soll (in diesem Beispiel EF (Telephony)).

LANCOM Support Knowledge Base DE > Konfiguration von Traffic-Shaping auf einer LANCOM R&S®Unified Firewall > 12.png

3.2 Traffic-Shaping für einzelne Protokolle:

Optional kann über das Traffic-Shaping ausgehenden Paketen für den Datenverkehr eines bestimmten Protokolls oder Dienstes ein bestimmter DSCP-Wert zugewiesen werden (der vorhandene DSCP-Wert wird dabei überschrieben). Die restlichen Protokolle bleiben unberührt und verwenden den bereits vorhandenen DSCP-Wert.

3.2.1 Klicken Sie bei dem gewünschten Protokoll (in diesem Beispiel der benutzerdefinierte Dienst SIP) unter Optionen auf NAT, um in die erweiterten Einstellungen zu gelangen.

4. Traffic-Shaping für einen IPSec-Tunnel (optional):

Optional kann über das Traffic-Shaping ausgehenden Paketen für den Datenverkehr des IPSec-Tunnels ein bestimmter DSCP-Wert zugewiesen werden (der vorhandene DSCP-Wert wird dabei überschrieben). Dadurch wird allerdings nur der IPSec-Tunnel als Ganzes beeinflusst, nicht aber der Datenverkehr einzelner Protokolle innerhalb des IPSec-Tunnels. Dies ist allerdings nur sinnvoll, wenn innerhalb des IPSec-Tunnels ähnlich gearteter Datenverkehr übertragen wird und dieser von der Zuweisung des DSCP-Flags profitiert.

5. Traffic-Shaping unter Verwendung von Application-Management (optional):

Optional kann über das Traffic-Shaping ausgehenden Paketen unter Verwendung des Application-Managements ein bestimmter DSCP-Wert zugewiesen werden.